等级保护三级-管理类测评
- 格式:docx
- 大小:36.45 KB
- 文档页数:16
下载文档原格式
合集下载
等保测评 3级测评项
等保测评3级测评项
等保测评3级包含以下方面:
1. 安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。
2. 安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
3. 网络结构测评:包括网络结构安全、通讯全过程数据库安全、数据信息安全性、界限安全防护、访问控制、侵入防范、恶意程序防范、安全审计、确保通讯稳定性的设备和路线沉余等层面的测评。
4. 单项工程测评:包括设备和测算安全性、运用和网络信息安全等方面的测评。
5. 安全风险评估:包括安全风险分析、安全脆弱性评估、安全事故风险评估等方面的测评。
6. 应急预案和演练测评:包括应急预案、应急演练和演练评估等方面的测评。
7. 第三方服务满意度测评:包括第三方服务提供商的服务质量、服务态度、服务效率等方面的测评。
8. 其他测评:包括但不限于上述各项的补充测评、专项测评等。
希望以上内容对您有帮助,如果您有其他问题,欢迎向我提问,我会为您提供相应的服务。
等级保护三级管理系统测评
69.
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
70.
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
1.
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
3.
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
4.
应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备
5.
应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。安全主管,人员配备要求的相关文档,管理人员名单。
79.
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
80.
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
81.
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
70.
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
1.
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
3.
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
4.
应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备
5.
应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。安全主管,人员配备要求的相关文档,管理人员名单。
79.
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
80.
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
81.
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
三级等保评测文件资料
信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附:信息系统安全等级保护备案表... ...1测评项目概述1.1测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
等保测评3级-技术测评要求
技术测评要求(S3A3G3)等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N物理安全物理位置的选择1.机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
(G2 )访谈,检查。
物理安全负责人,机房,办公场地,机房场地设计/ 验收文档。
2.机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
(G3)物理访问控制3.机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
(G2 )访谈,检查。
物理安全负责人,机房值守人员,机房,机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录。
4.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
(G2)等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N5.应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
(G3)6.重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
(G3 )防盗窃和防破坏7.应将主要设备放置在机房内。
(G2 )访谈,检查。
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/ 验收报告。
8.应将设备或主要部件进行固定,并设置明显的不易除去的标记。
(G2)9.应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
(G2 )等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N10.应对介质分类标识,存储在介质库或档案室中。
(G2)11.应利用光、电等技术设置机房防盗报警系统。
(G3)12.应对机房设置监控报警系统。
(G3 )防雷击13.机房建筑应设置避雷装置。
(G2 )访谈,检查。
物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线),建筑防雷设计/ 验收文档。
14.应设置防雷保安器,防止感应雷。
等保测评技术方案
一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
因此,本次测评将根据信息系统的等级选取相应级别的测评指标。
1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。
所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。
所包括的安全控制指标类型情况具体如下表特殊指标无。
(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。
2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。
1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。
等级保护测评-完全过程(非常全面)
等级保护测评过程
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69
合
计
66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69
合
计
66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
等保三级测评内容详解
等保三级测评内容详解标题:等保三级测评内容详解简介:等保三级测评是指对信息系统等级保护实施的一种评价和测试,是在信息系统等级保护评估的基础上,对实施等级保护的信息系统进行综合评估和测试。
本文将深入探讨等保三级测评的内容,包括测评目标、评估要求、测评方法和总结回顾,以帮助您更全面、深刻地理解等保三级测评。
一、测评目标等保三级测评的目标是评价和测试信息系统在等级保护实施过程中的安全性、稳定性和合规性,以发现系统存在的安全漏洞和隐患,为进一步提升系统等级保护水平提供科学数据支持。
二、评估要求等保三级测评的评估要求主要包括以下几个方面:1. 安全管理要求:评估信息系统是否建立了完备的安全管理机制,包括安全策略、安全组织、安全人员、安全培训等。
2. 安全技术要求:评估信息系统是否采用了先进的安全技术手段,包括身份认证、访问控制、加密技术、漏洞管理等。
3. 安全保障要求:评估信息系统是否实施了全面的安全保障措施,包括物理环境保护、应急响应、安全审计、风险管理等。
三、测评方法等保三级测评的方法主要包括以下几个步骤:1. 需求分析:根据等级保护要求,确定测评对象和测评范围。
2. 数据收集:收集与测评对象相关的信息和数据,包括系统配置信息、安全策略文件、日志记录等。
3. 风险评估:通过风险评估方法,对系统风险进行评估和分类。
4. 安全测试:根据评估要求,进行系统漏洞扫描、渗透测试、密码破解等安全测试活动。
5. 安全评估:评估系统的安全性、稳定性和合规性,分析系统中存在的安全漏洞和隐患。
6. 结果报告:撰写测评结果报告,包括系统安全现状、存在的问题和建议的改进建议。
总结回顾:通过等保三级测评,可以全面评估信息系统的安全性、稳定性和合规性,为进一步提升系统等级保护水平提供科学数据支持。
在评估过程中,需要关注安全管理要求、安全技术要求和安全保障要求,并运用需求分析、数据收集、风险评估、安全测试和安全评估等方法。
通过测评结果报告,可以了解系统的安全现状、存在的问题和改进方案,为系统的持续改进提供指导。
信息安全系统等级保护三级测评控制点概要
6.
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
防盗窃和防破坏
7.
应将主要设备放置在机房内。
访谈,检查。
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/验收报告。
8.
应将设备或主要部件进行固定,并设置明显的不易除去的标记。
9.
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
访谈,检查,测试。
安全审计员,服务器操作系统、数据库和重要终端操作系统。
80.
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
81.
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
22.
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
防静电
23.
主要设备应采用必要的接地防静电措施。
访谈,检查。
物理安全负责人,机房维护人员,机房设施,防静电设计/验收文档。
24.
机房应采用防静电地板。
温湿度控制
25.
应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
应用系统管理员,应用系统,设计/验收文档,操作规程。
99.
应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
100.
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
101.
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
防盗窃和防破坏
7.
应将主要设备放置在机房内。
访谈,检查。
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/验收报告。
8.
应将设备或主要部件进行固定,并设置明显的不易除去的标记。
9.
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
访谈,检查,测试。
安全审计员,服务器操作系统、数据库和重要终端操作系统。
80.
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
81.
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
22.
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
防静电
23.
主要设备应采用必要的接地防静电措施。
访谈,检查。
物理安全负责人,机房维护人员,机房设施,防静电设计/验收文档。
24.
机房应采用防静电地板。
温湿度控制
25.
应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
应用系统管理员,应用系统,设计/验收文档,操作规程。
99.
应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
100.
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
101.
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
等级保护2.0第三级网络安全防护网络安全管理类安全防护产品功能指
等级保护2.0第三级网络安全防护网络安全管理类安全防护产品功能指标参考
1、安全策略管理(至少具备4 项功能、支持3 种管控策略、支持
3 种告警方式)
用于网络安全设备集中管理和监控的专用系统。
①具备网络安全设备策略集中编辑、策略集中下发、设备集中
升级、设备集中监控、拓扑展示、统计报表等6项功能。
②支持防火墙、入侵防御、病毒防御、VPN 网关、VPN客
户端等5 种管控策略。
③支持邮件告警、日志、短信、第三方应用等4 种告警方式。
2、网络设备管理(至少具备5 项功能、支持8 种报表、支持3
种告警方式)
用于网络设备集中管理和监控的专用系统。
①具备网络设备拓扑管理、可用性监控、网络设备性能监控、
主机服务器监控、数据库监控、中间件监控、业务系统监控、网络配置管理、统计报表等9 项功能。
②支持设备综合性能、链路带宽利用率、CPU 使用率、内存
使用率、设备响应时间、设备ICMP 丢包率、端口进/出流量、端口进/出错包率、端口进/出丢包率、端口进/出单播包速率、非单播包速率、组播包速率、广播包速率、自定义报表等14 种报表。
③支持邮件、日志、声音、短信、颜色等5 种告警方式。
三级等保每年测评测评要求
三级等保每年测评测评要求
根据国家信息安全等级保护管理办法,三级等保每年测评的要求如下:
1. 安全风险评估:评估系统或网络的安全风险,包括可能出现的威胁和漏洞。
2. 安全技术配置评估:评估系统或网络的安全技术配置情况,包括防火墙、入侵检测系统、反病毒系统等各种安全设备的部署和配置是否符合要求。
3. 安全管理制度评估:评估信息安全管理制度的建立与执行情况,包括安全策略、安全培训、安全管理人员的配置等。
4. 安全事件响应评估:评估系统或网络的安全事件响应能力,包括事件的监测、分析、处理与处置能力。
5. 安全加固评估:评估系统或网络的安全加固措施,包括系统补丁管理、权限控制、审计与监控等。
6. 安全防护管理评估:评估系统或网络的外部攻击和内部攻击的防护能力,包括防御外部攻击的安全设备、内部员工的安全意识培训等。
以上是三级等保每年测评的基本要求,具体的评估标准和流程可能会因地区和行业的不同而有所调整。
企业在完成测评后需要向相关部门进行报告和备案。
三级等保测评服务内容
三级等保测评服务内容三级等保测评是指根据国家网络安全等级保护的要求,对网络信息系统进行评估和测试,以验证其安全性和合规性,并提供相应的安全服务和技术支持。
三级等保测评服务内容包括以下方面:1.网络安全管理体系评估:对网络安全管理体系进行评估,包括策略与规划、组织与人员、安全风险管理、安全控制、安全事件管理、安全审计等方面的评估,确认其符合等保要求。
2.网络设备与软件评估:评估网络设备和软件的安全性和合规性,包括传输设备、防火墙、入侵检测系统、安全审计系统等,验证其是否符合等保要求,是否存在安全隐患。
3.安全防护能力评估:评估网络信息系统的安全防护能力,包括边界防护、身份认证与授权、访问控制、安全审计等方面的能力评估,验证其是否能够有效防护各类网络安全威胁。
4.安全运维能力评估:评估网络信息系统的安全运维能力,包括安全事件响应、漏洞管理、补丁管理、安全运维人员素质等方面的评估,验证其是否能够做到及时发现、处置和防范安全事件。
5.数据安全评估:评估网络信息系统的数据安全保护能力,包括数据分类与保护、数据备份与恢复、数据流转控制等方面的评估,验证其是否能够确保数据的机密性、完整性和可用性。
6.物理环境安全评估:评估网络信息系统所处的物理环境的安全性,包括机房环境、设备布局与摆放、防火墙等物理措施的安全性评估,验证其是否能够有效保护信息系统。
7.安全事件响应能力评估:评估网络信息系统的安全事件响应能力,包括安全事件的处理流程、响应时效、协同能力等方面的评估,验证其是否能够迅速应对并处置安全事件,减少损失。
8.安全审计和合规性评估:评估网络信息系统的安全审计能力和合规性,包括日志审计、安全策略合规性等方面的评估,验证其是否符合相关法律法规和标准的要求。
9.安全培训与意识评估:评估组织内部安全培训与意识的水平,对员工的网络安全意识、安全培训的有效性进行评估,提供相关的培训和改进方案。
通过以上的评估和测试,可以为网络信息系统提供全面的安全性和合规性评估报告,识别和解决潜在的安全风险,提升网络信息系统的安全性,确保其符合国家等级保护要求,为组织提供更有力的网络安全保障。
等级保护三级管理测评
应加强与兄弟单位、公安机关、电信公司的合作与沟通。
应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
应建外联单位联系表,包括外联单位名称、合作内容、联系人和联系方式等信息。
应聘请信息安全专家作为常的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
审核和检查
安全管员应负责定期进安全检查,检查内容包括系统日常运、系统和数据备份等情况。
word完美格式
等级保护三级管类测评控制点
类别
序号
测评内容
测]评方法
结果记录
符合情况
应根据数据备份的需要对某些介质实异地存储,存储地的环境要求和管方法应与本地相同。
应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程对介质进分类和标识管。
设备
应对信息系统相关的各种设备(包括备份和冗余设备)、线等指定专门的部门或人员定期进维护管
word完美格式
等级保护三级管类测评控制点
类别
序号
测评内容
测]评方法
结果记录
符合情况
系统安全
应根据业务需求和系统安全分析确定系统的访问控制策。
访谈,检查。
安全管员,系统管员,系统操作手册,系统安全管制,详细操作日志,系统审计分析记录,系统扫"描报告。
应定期进扫描,对发现的系统安全及时进
修补。
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进备份后,方可实施系统补丁程序的安装。
等级保护三级管类测评控制点
类别
序号
测评内容
测]评方法
结果记录
符合情况
审批部门和审批人等信息。
应记录审批过程并保存审批文档。
应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。
应建外联单位联系表,包括外联单位名称、合作内容、联系人和联系方式等信息。
应聘请信息安全专家作为常的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
审核和检查
安全管员应负责定期进安全检查,检查内容包括系统日常运、系统和数据备份等情况。
word完美格式
等级保护三级管类测评控制点
类别
序号
测评内容
测]评方法
结果记录
符合情况
应根据数据备份的需要对某些介质实异地存储,存储地的环境要求和管方法应与本地相同。
应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程对介质进分类和标识管。
设备
应对信息系统相关的各种设备(包括备份和冗余设备)、线等指定专门的部门或人员定期进维护管
word完美格式
等级保护三级管类测评控制点
类别
序号
测评内容
测]评方法
结果记录
符合情况
系统安全
应根据业务需求和系统安全分析确定系统的访问控制策。
访谈,检查。
安全管员,系统管员,系统操作手册,系统安全管制,详细操作日志,系统审计分析记录,系统扫"描报告。
应定期进扫描,对发现的系统安全及时进
修补。
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进备份后,方可实施系统补丁程序的安装。
等级保护三级管类测评控制点
类别
序号
测评内容
测]评方法
结果记录
符合情况
审批部门和审批人等信息。
应记录审批过程并保存审批文档。
等级保护三级管理测评
访谈,检查。安全主管,资产管理员,资产清单,资产安全管理制度,设备。
53.
应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
54.
应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。
55.
应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
1.
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.
51.
应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
资产管理
52.
应编制并保存与信息统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
69.
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
70.
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
17.
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
53.
应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
54.
应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。
55.
应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
1.
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.
51.
应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
资产管理
52.
应编制并保存与信息统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
69.
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
70.
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
17.
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
信息安全等级保护三级系统测评标准
信息安全等级保护三级系统测评标准好的,以下是为您生成的一篇关于【信息安全等级保护三级系统测评标准】的文章:---# 信息安全等级保护三级系统测评标准## 前言嘿,朋友们!在当今这个数字化的时代,信息就像我们生活中的宝贝一样重要。
不管是企业的商业机密,还是咱们个人的隐私信息,都得好好保护起来。
那要怎么保护呢?这就有了信息安全等级保护三级系统测评标准。
这个标准啊,就像是给我们的信息穿上了一层坚固的铠甲,让那些可能的威胁和风险都没法轻易靠近。
今天咱们就来好好聊聊这个标准,弄清楚它到底是怎么保护咱们的信息安全的!## 适用范围这个信息安全等级保护三级系统测评标准适用的场景那可多了去了。
比如说,像银行、证券、保险这些金融机构的重要业务系统,还有政府部门的关键信息系统,比如税务、社保啥的。
说白了,只要是那些涉及到大量敏感信息、对社会或经济运行有着重要影响的信息系统,都得按照这个标准来进行保护。
给您举个例子,一家大型电商平台,它有成千上万的用户信息,包括姓名、地址、银行卡号等等。
如果这些信息泄露了,那后果不堪设想。
所以,这样的系统就必须得符合信息安全等级保护三级系统的测评标准,从技术到管理,全方位保障用户信息的安全。
再比如,一家医院的电子病历系统,里面有患者的各种诊疗信息,这也是极其敏感和重要的数据,同样得遵循这个标准来进行防护。
## 术语定义在了解这个标准之前,咱们先得弄清楚几个关键的术语。
**信息系统**:你可以想象成是一个专门处理和存储信息的“大盒子”,它有各种软件、硬件、网络啥的,共同完成信息的收集、处理、存储和传输。
**等级保护**:这就像是给信息系统划分“等级”,根据重要程度和受到威胁后的影响程度来分,不同等级有不同的保护要求,咱们说的三级就是比较重要的一个等级。
**安全测评**:简单来说,就是对信息系统的安全性进行“检查”,看看它是不是符合规定的标准和要求。
## 正文### 一、物理安全1. 物理位置的选择- 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
等级保护三级测评
等级保护三级测评等级保护三级测评(以下简称“等保三级”)是中国对非银行机构的最高级别信息安全等级保护认证,通过对不同等级的信息系统进行不同级别的安全保护,保障信息系统的安全稳定运行。
以下是关于等保三级的详细介绍:一、等保三级的概念等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的核心思想是“分等级保护、分等级响应、分等级处理”。
等保三级是国家对非银行机构的最高级别信息安全等级保护认证,依据《信息系统安全等级保护基本要求》,对信息系统的安全保护能力进行检验和认证,一共包含五个定级要素,分别是:信息系统的重要性、受侵害后的危害性、涉及的秘密信息、业务峰值和人力投入。
等保三级测评包含:安全技术测评和安全管理测评两大方面。
二、等保三级的重要性随着信息化程度的提高,信息系统已经成为社会发展的重要支撑。
然而,信息系统的安全问题也日益突出,如黑客攻击、病毒传播等,给企业和个人带来了巨大的经济损失和隐私泄露风险。
因此,加强信息系统的安全保护已成为企业和个人必须面对的重要问题。
等保三级作为最高级别的信息安全等级保护认证,其重要性主要体现在以下几个方面:1. 保障信息安全:通过等保三级认证的信息系统,其安全保护能力得到了国家相关部门的认可和检验,可以有效地抵御各类网络攻击和数据泄露等安全事件,保障信息安全。
2. 提高企业竞争力:通过等保三级认证的企业,可以证明其具备高水平的信息安全保障能力,提高企业的信誉度和竞争力。
3. 满足法律法规要求:根据国家相关法律法规要求,某些特定行业或特定业务必须通过等保三级认证,否则将无法开展相关业务。
因此,通过等保三级认证也是企业合规经营的必要条件。
4. 提升员工安全意识:通过等保三级认证,可以提升企业员工的信息安全意识,加强企业的安全管理水平,提高企业的整体安全性。
三级等保测评内容
三级等保测评内容一、安全管理1、安全管理体系:系统采用适当的安全管理措施,包括安全培训、人员 <br>安排、权限管理、审计、安全运行计划等,实施持续安全管理,严格 <br>控制系统资源的访问和使用,确保系统信息安全。
2、安全策略:采取有效技术措施,确保网络与信息系统的安全性。
<br>例如采用访问控制机制、身份认证和授权机制、加密技术等,以及<br>防火墙、入侵检测和反恶意软件等。
3、组织安全:按照《信息安全管理办法(试行)》的要求,建立<br>健全信息安全管理体系,明确信息安全的职责、管理制度和有关 <br>流程,提高全组织的信息安全意识。
4、安全培训:定期对系统用户进行安全培训,提高安全意识和技能,<br>帮助系统用户对系统安全措施有更深入的理解,更好的管理信息 <br>安全。
二、网络系统安全1、系统设计:采用安全性设计原则,及时识别系统的弱点,采取有效 <br>技术措施加强安全防护,降低攻击面尽可能控制系统资源。
2、系统防护:严格控制系统访问权限,建立可控制、合理的认证机制;<br>部署专业的防火墙与入侵检测系统,监测网络异常;定期备份各 <br>类数据,确保数据安全可恢复。
3、信息传输安全:采取有效的加密技术以确保信息的传输安全和 <br>隐私的保护;建立信息安全系统日志存储机制,对网络操作行为进 <br>行备份与审计。
4、应用安全:把安全考量纳入系统设计、审查和开发流程中,实施 <br>针对性的系统安全测试和评估,确保信息系统的安全性。
三、突发事件处置1、处置预案:规定事件处置预案,应对人为或非人为事件突发时的 <br>反应和处置,实现早期发现、快速响应、精准把控、可恢复的 <br>整改要求。
2、事件报告:定期收集和评估信息系统安全事件及攻击行为信息, <br>确定准确应急处置措施,加强系统安全防护及动态应对能力。
等级保护三级技术类测评控制点全解
2.
机房场地应避免设在建筑物的高层或地下室, 以及用水设备的下层或隔壁。(G3)
物理访问控制
3.
机房出入口应安排专人值守,控制、鉴别和记录进入的人员。(G2)
访谈, 检查。
物理安全负责人, 机房值守 人员, 机房, 机房安全管理制度, 值守记录, 进入机房的 登记记录, 来访人员进入机房的审批记录。
49.
审计记录应包括: 事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。(G2)
50.
应能够根据记录数据进行分析, 并生成审计报表。(G3)
51.
应对审计记录进行保护, 避免受到未预期的删除、修改或覆盖等。(G3)
边界完整性检查
52.
应能够对非授权设备私自联到内部网络的行为进行检查, 准确定出位置, 并对其进行有效阻断。(G3)
70.
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。(G2)
71.
应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。(G3)
访问控制
72.
应启用访问控制功能,依据安全策略控制用户对资源的访问。(G2)
访谈, 检查。
服务器操作系统、数据库, 服务器操作系统文档, 数据库管理系统文档。
20.
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。(G2)
21.
应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。(G2)
22.
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。(G3)
防静电
23.
主要设备应采用必要的接地防静电措施。(G2)
访谈, 检查。
物理安全负责人, 机房维护人员, 机房设施, 防静电设计/验收文档。
机房场地应避免设在建筑物的高层或地下室, 以及用水设备的下层或隔壁。(G3)
物理访问控制
3.
机房出入口应安排专人值守,控制、鉴别和记录进入的人员。(G2)
访谈, 检查。
物理安全负责人, 机房值守 人员, 机房, 机房安全管理制度, 值守记录, 进入机房的 登记记录, 来访人员进入机房的审批记录。
49.
审计记录应包括: 事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。(G2)
50.
应能够根据记录数据进行分析, 并生成审计报表。(G3)
51.
应对审计记录进行保护, 避免受到未预期的删除、修改或覆盖等。(G3)
边界完整性检查
52.
应能够对非授权设备私自联到内部网络的行为进行检查, 准确定出位置, 并对其进行有效阻断。(G3)
70.
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。(G2)
71.
应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。(G3)
访问控制
72.
应启用访问控制功能,依据安全策略控制用户对资源的访问。(G2)
访谈, 检查。
服务器操作系统、数据库, 服务器操作系统文档, 数据库管理系统文档。
20.
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。(G2)
21.
应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。(G2)
22.
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。(G3)
防静电
23.
主要设备应采用必要的接地防静电措施。(G2)
访谈, 检查。
物理安全负责人, 机房维护人员, 机房设施, 防静电设计/验收文档。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
33.
应严格规范人员录用过程,对被录用人的身份、背景、 专业资格和资质等进行审查,对其所具有的技术技能 进行考核。
34.
应签署保密协议。
35.
应从内部人员中选拔从事关键岗位的人员,并签署岗 位安全协议。
人员 离岗
36.
应严格规范人员离岗过程,及时终止离岗员工的所有 访问权限。
访谈,检查。安全主管,人事工作人员, 安全处理记录,保密承诺文档。
访谈,检查。安全主管,安全管理人员, 会议文件,会议记录,外联单位说明文 档。
、
13.
应加强与兄弟单位、公安机关、电信公司的合作与沟 通。
14.
应加强与供应商、业界专家、专业的安全公司、安全 组织的合作与沟通。
15.
应建立外联单位联系列表,包括外联单位名称、合作 内容、联系人和联系方式等信息。
16.
31.
应定期或不定期对安全管理制度进行检查和审定,对
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
存在不足或需要改进的安全管理制度进行修订。
人员
安全
管理
人员
录用
32.
应指定或授权专门的部门或人员负责人员录用。
访谈,检查。人事负责人,人事工作人 员,人员录用要求管理文档, 人员审查 文档或记录,考核文档 或记录,保密 协议。
10.
应定期审查审批事项, 及时更新需授权和审批的项目、
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
审批部门和审批人等信息。
11.
应记录审批过程并保存审批文档。
沟通 和合 作
12.
应加强各类管理人员之间、组织内部机构之间以及信 息安全职能部门内部的合作与沟通,定期或不定期召 开协调会议,共同协作处理信息安全问题。
19.
应制定安全检查表格实施安全检查,汇总安全检查数 据,形成安全检查报告, 并对安全检查结果进行通报。
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
20.
应制定安全审核和安全检查制度规范安全审核和安全 检查工作,定期按照程序进行安全审核和安全检查活 动。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗 位,定义各个工作岗位的职 责。
3.
应成立指导和管理信息安全工作的委员会或领导小 组,其最高领导由单位主管领导委任或授权。
面的负责人,部门、冈位职责乂件。
4.
应制定文件明确安全管理机构各个部门和岗位的职 责、分工和技能要求。
人员 配备
5.
应配备一定数量的系统管理员、网络管理员、安全管 理员等。
策性文件和女全策略文件,女全官理制 度清单,操作规程。
24.
应形成由安全策略、管理制度、操作规程等构成的全 面的信息安全管理制度体系。
制定 和发 布
25.
应指定或授权专门的部门或人员负责安全管理制度的 制定。
访谈,检查。安全主管,制度制定和发 布要求管理文档,评审记录,安全管理 制度。
26.
安全管理制度应具有统一的格式,并进行版本控制。
访谈,检查。安全主管,人员配备要求 的相关文档,管理人员名单。
6.
应配备专职安全管理员,不可兼任。
7.
关键事务岗位应配备多人共同管理。
授权 和审 批
8.
应根据各个部门和岗位的职责明确授权审批事项、审 批部门和批准人等。
访谈,检查。安全主管,关键活动的批 准人,审批事项列表,审批文档。
9.
应针对系统变更、重要操作、物理访冋和系统接入等 事项建立审批程序,按照审批程序执行审批过程,对 重要活动建立逐级审批制度。
三级管理要求
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
安全
管理
机构
(-JL4£亠冈位
设置
1.
应设立信息安全管理工作的职能部门, 设立安全主管 人、安全管理各个方面的负责人岗位, 定义各负责人的 职责。
访谈,检查。安全主管,安全管理某方
匸U厶厶f宀rz ?—t»-JL4 AA^Trri/zK
27.
应组织相关人员对制定的安全管理制度进行论证和审 定。
28.
安全管理制度应通过正式、有效的方式发布。
29.
安全管理制度应注明发布范围, 并对收发文进行登记。
评审 和修 订
30.
信息安全领导小组应负责定期组织相关部门和相关人 员对安全管理制度体系的合理性和适用性进行审定。
访谈,检查。安全主管,安全管理制度 列表,评审记录。
记录.
44.
应对定期安全教育和培训进行书面规定,针对不同岗 位制定不同的培训计划,对信息安全基础知识、岗位 操作规程等进行培训。
45.
应对安全教育和培训的情况和结果进行记录并归档保 存。
应聘请信息安全专家作为常年的安全顾问,指导信息 安全建设,参与安全规划和安全评审等。
审核 和检 查
17.
安全管理员应负责定期进行安全检查,检查内容包括 系统日常运行、系统漏洞和数据备份等情况。
访谈,检查。安全主管,安全员,安全 检查记录。
18.
应由内部人员或上级单位定期进行全面安全检查,检 查内容包括现有安全技术措施的有效性、安全配置与 安全策略的一致性、安全管理制度的执行情况等。
37.
应取回各38.
应办理严格的调离手续,关键岗位人员离岗须承诺调 离后的保密义务后方可离开。
人员 考核
39.
应定期对各个岗位的人员进行安全技能及安全认知的 考核。
访谈。安全主管,人事工作人员。
40.
应对关键岗位的人员进行全面、严格的安全审查和技 能考核。
41.
应对考核结果进行记录并保存。
安全
意识
42.
应对各类人员进行安全意识教育、岗位技能培训和相 关安全技术培训。
访谈,检查。安全主管,安全员,系统 管理员,网络管理员,培训计划,培训
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
教育 和培 训
43.
应对安全责任和惩戒措施进行书面规定并告知相关人 员,对违反违背安全策略和规定的人员进行惩戒。
安全
管理
制度
管理
制度
21.
应制定信息安全工作的总体方针和安全策略,说明机 构安全工作的总体目标、范围、原则和安全框架等。
访谈,检查。安全主管,总体方针、政
尺&.LtL1、,.n工rt人尺&fTt/71、,./zK人AA? Tin牛r【
22.
应对安全管理活动中的各类管理内容建立安全管理制 度。
23.
应对要求管理人员或操作人员执行的日常管理操作建 立操作规程。
应严格规范人员录用过程,对被录用人的身份、背景、 专业资格和资质等进行审查,对其所具有的技术技能 进行考核。
34.
应签署保密协议。
35.
应从内部人员中选拔从事关键岗位的人员,并签署岗 位安全协议。
人员 离岗
36.
应严格规范人员离岗过程,及时终止离岗员工的所有 访问权限。
访谈,检查。安全主管,人事工作人员, 安全处理记录,保密承诺文档。
访谈,检查。安全主管,安全管理人员, 会议文件,会议记录,外联单位说明文 档。
、
13.
应加强与兄弟单位、公安机关、电信公司的合作与沟 通。
14.
应加强与供应商、业界专家、专业的安全公司、安全 组织的合作与沟通。
15.
应建立外联单位联系列表,包括外联单位名称、合作 内容、联系人和联系方式等信息。
16.
31.
应定期或不定期对安全管理制度进行检查和审定,对
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
存在不足或需要改进的安全管理制度进行修订。
人员
安全
管理
人员
录用
32.
应指定或授权专门的部门或人员负责人员录用。
访谈,检查。人事负责人,人事工作人 员,人员录用要求管理文档, 人员审查 文档或记录,考核文档 或记录,保密 协议。
10.
应定期审查审批事项, 及时更新需授权和审批的项目、
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
审批部门和审批人等信息。
11.
应记录审批过程并保存审批文档。
沟通 和合 作
12.
应加强各类管理人员之间、组织内部机构之间以及信 息安全职能部门内部的合作与沟通,定期或不定期召 开协调会议,共同协作处理信息安全问题。
19.
应制定安全检查表格实施安全检查,汇总安全检查数 据,形成安全检查报告, 并对安全检查结果进行通报。
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
20.
应制定安全审核和安全检查制度规范安全审核和安全 检查工作,定期按照程序进行安全审核和安全检查活 动。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗 位,定义各个工作岗位的职 责。
3.
应成立指导和管理信息安全工作的委员会或领导小 组,其最高领导由单位主管领导委任或授权。
面的负责人,部门、冈位职责乂件。
4.
应制定文件明确安全管理机构各个部门和岗位的职 责、分工和技能要求。
人员 配备
5.
应配备一定数量的系统管理员、网络管理员、安全管 理员等。
策性文件和女全策略文件,女全官理制 度清单,操作规程。
24.
应形成由安全策略、管理制度、操作规程等构成的全 面的信息安全管理制度体系。
制定 和发 布
25.
应指定或授权专门的部门或人员负责安全管理制度的 制定。
访谈,检查。安全主管,制度制定和发 布要求管理文档,评审记录,安全管理 制度。
26.
安全管理制度应具有统一的格式,并进行版本控制。
访谈,检查。安全主管,人员配备要求 的相关文档,管理人员名单。
6.
应配备专职安全管理员,不可兼任。
7.
关键事务岗位应配备多人共同管理。
授权 和审 批
8.
应根据各个部门和岗位的职责明确授权审批事项、审 批部门和批准人等。
访谈,检查。安全主管,关键活动的批 准人,审批事项列表,审批文档。
9.
应针对系统变更、重要操作、物理访冋和系统接入等 事项建立审批程序,按照审批程序执行审批过程,对 重要活动建立逐级审批制度。
三级管理要求
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
安全
管理
机构
(-JL4£亠冈位
设置
1.
应设立信息安全管理工作的职能部门, 设立安全主管 人、安全管理各个方面的负责人岗位, 定义各负责人的 职责。
访谈,检查。安全主管,安全管理某方
匸U厶厶f宀rz ?—t»-JL4 AA^Trri/zK
27.
应组织相关人员对制定的安全管理制度进行论证和审 定。
28.
安全管理制度应通过正式、有效的方式发布。
29.
安全管理制度应注明发布范围, 并对收发文进行登记。
评审 和修 订
30.
信息安全领导小组应负责定期组织相关部门和相关人 员对安全管理制度体系的合理性和适用性进行审定。
访谈,检查。安全主管,安全管理制度 列表,评审记录。
记录.
44.
应对定期安全教育和培训进行书面规定,针对不同岗 位制定不同的培训计划,对信息安全基础知识、岗位 操作规程等进行培训。
45.
应对安全教育和培训的情况和结果进行记录并归档保 存。
应聘请信息安全专家作为常年的安全顾问,指导信息 安全建设,参与安全规划和安全评审等。
审核 和检 查
17.
安全管理员应负责定期进行安全检查,检查内容包括 系统日常运行、系统漏洞和数据备份等情况。
访谈,检查。安全主管,安全员,安全 检查记录。
18.
应由内部人员或上级单位定期进行全面安全检查,检 查内容包括现有安全技术措施的有效性、安全配置与 安全策略的一致性、安全管理制度的执行情况等。
37.
应取回各38.
应办理严格的调离手续,关键岗位人员离岗须承诺调 离后的保密义务后方可离开。
人员 考核
39.
应定期对各个岗位的人员进行安全技能及安全认知的 考核。
访谈。安全主管,人事工作人员。
40.
应对关键岗位的人员进行全面、严格的安全审查和技 能考核。
41.
应对考核结果进行记录并保存。
安全
意识
42.
应对各类人员进行安全意识教育、岗位技能培训和相 关安全技术培训。
访谈,检查。安全主管,安全员,系统 管理员,网络管理员,培训计划,培训
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
教育 和培 训
43.
应对安全责任和惩戒措施进行书面规定并告知相关人 员,对违反违背安全策略和规定的人员进行惩戒。
安全
管理
制度
管理
制度
21.
应制定信息安全工作的总体方针和安全策略,说明机 构安全工作的总体目标、范围、原则和安全框架等。
访谈,检查。安全主管,总体方针、政
尺&.LtL1、,.n工rt人尺&fTt/71、,./zK人AA? Tin牛r【
22.
应对安全管理活动中的各类管理内容建立安全管理制 度。
23.
应对要求管理人员或操作人员执行的日常管理操作建 立操作规程。